WEBINAIRE ENREGISTRÉ:
Stratégies globales de noms de domaine pour naviguer dans un écosystème en constante évolution
Lorsque vous possédez un portefeuille de noms de domaine, et donc une partie de l'internet, vos stratégies de sécurisation de votre portefeuille ne peuvent pas être confiées à n'importe qui.
Durée de vie plus courte, réduisez les risques et automatisez la gestion de vos certificats numériques
Que souhaitez-vous savoir!
La compréhension, la conception et la mise en œuvre de stratégies globales de noms de domaine pour votre entreprise sont essentielles. Il est en effet nécessaire d’optimiser votre position en matière de cybersécurité dans un écosystème en constante évolution.
CSC, fournisseur de sécurité de « Corporate » et partenaire de confiance des plus grandes marques, dispose des outils indispensables pour vous aider à vous adapter aux constants changements de l'industrie, utilise une solution de surveillance pour veiller sur ce que vous ne pouvez pas contrôler, et comprend et gère les questions de conformité en votre nom.
TRANSCRIPTION DU WEBINAIRE
Arnaud: La deuxième, comment la mettre en œuvre et quelles sont les étapes clés de sa réussite. Alors, pour vous guider aujourd'hui, j'ai le plaisir de vous présenter Patrick Hauss, que beaucoup d'entre vous connaissent déjà, qui est notre responsable des partenariats stratégiques pour l'Europe, en bas de l'écran. Patrick, je te laisse la parole.
Patrick: Bonjour à toutes et bonjour à tous. Ravi de vous retrouver pour ce webinaire aujourd'hui donc dédié aux stratégies de noms de domaine. Nous allons effectivement aborder deux parties: une première qui va être une sorte de récapitulatif pour une mise en place, avant d'entrer un peu plus dans le détail avec les différentes phases à suivre et les différentes règles à suivre lorsqu'il s'agit effectivement d'implanter des stratégies de nom de domaine.
Pour commencer, j'ai choisi de vous parler d'un exemple réel, puisqu'il y a quelques années maintenant, le cours en bourse de l'action de la société Vinci a considérablement chuté à la Bourse de Paris et la société Vinci a en l'occurrence perdu quasiment 20% de sa valorisation boursière durant une journée. Et l'idée, c'était de revenir vers vous pour vous expliquer ce qui s'était passé ce jour-là. En l'occurrence, la société Bloomberg, qui est spécialisée dans la communication financière, a réceptionné un avis d'alerte sur les résultats en fait de la société Vinci faisant état de difficultés financières. Donc, c'est un processus qui existe de manière assez courante, notamment pour les sociétés qui sont cotées, où on va informer des grandes agences de communication de difficultés ou alors de très bons résultats, ce qui va effectivement faire influencer le cours en bourse de la société il a reçu un avis faisant état de difficultés de la société Vinci graves sur la valorisation boursière. L'action de la société Vinci a considérablement chuté. L'avis qui a été envoyé à Bloomberg était faux, il reprenait l'identité du directeur financier de la société qui en fait avait été expédié par email en utilisant une adresse email qui avait elle-même été créée sur un nom de domaine qui n'était pas légitime, en l'occurrence le nom de domaine vinci.group alors qu'habituellement la société Vinci communique sur un .com. Aucune vérification n'avait été effectuée par les équipes chez Bloomberg, considérant que cet avis, cette alerte, était tout à fait légitime et donc effectivement l’information s'est propagée et le cours de Vinci en bourse a considérablement chuté. Donc, il y a un certain nombre d'enseignements qui sont à tirer de cela puisqu'il s'agit naturellement de se prémunir autant que possible de ce genre d'agissements et des conséquences, naturellement, qui sont liées.
Et pour cela, en fait un des premiers éléments qu'on souhaitait faire avec vous aujourd'hui, c'était vous rappeler que lorsqu'on parle d'attaques qui visent des entreprises, comme c'est le cas actuellement, on parle naturellement de cybersécurité à ce moment-là. Et c'est vrai que lorsqu'on parle traditionnellement de cybersécurité, on va parler de la cybersécurité des différents équipements informatiques de l'entreprise, les serveurs notamment, qui traditionnellement sont mis derrière ce qu'on appelle des firewalls, un firewall ayant pour objectif d'analyser en fait les flux de données entrants et sortants afin naturellement de ne laisser passer que le trafic qui est légitime. Donc c'est un dispositif absolument essentiel que ce pare-feu dans la sécurité informatique. Malheureusement, lorsqu'on parle de sécurité des noms de domaine ou de l'utilisation de noms de domaine par des tiers, il n'en va pas de même puisque votre présence en ligne, naturellement, ne peut pas se gérer, ni toute sécurité derrière un pare-feu puisque l'intégralité des intervenants dans votre présence en ligne, que ce soit le registre de nom de domaine, le registrar qui gère le nom de domaine, le fournisseur d'accès, l'hébergeur, cloud par exemple, sont tous accessibles sur Internet avec des infrastructures qui très souvent sont accessibles derrière un login et un mot de passe.
Donc, il est extrêmement difficile de sécuriser sa présence en ligne, notamment lorsqu'on parle de noms de domaine, d'autant plus que la règle fondamentale en la matière est celle du premier arrivé, premier servi, ce qui signifie que toute personne derrière un ordinateur, un téléphone mobile, et équipé d'une carte de crédit, peut aller réserver un nom de domaine qui reprend votre marque et en faire naturellement une utilisation frauduleuse par la suite.
Donc, c'est pour cela qu'il est absolument fondamental de mettre en place des stratégies de noms de domaine. Et sur cette slide, on a voulu vous donner un exemple, finalement, de stratégie à mettre en place avec notamment les grandes actions qui sont à mener lorsqu'on parle de sécuriser un portefeuille de noms de domaine dans le cadre d'une politique de noms de domaine.
L'idée est relativement simple, l'idée, c'est simplement d'être capable de répondre à deux grandes questions, la première étant « est-ce que mon nom de domaine est stratégique ? », la deuxième étant « est-ce que je suis propriétaire de ce nom de domaine ? ». En répondant donc très simplement par oui ou par non à ces deux questions, vous allez pouvoir en dégager un certain nombre d'actions qui vont s'inscrire effectivement dans votre stratégie globale de noms de domaine.
Donc, on va parcourir ceci ensemble en répondant à ces questions et en voyant effectivement les actions qui s'ensuivent, en déterminant finalement quatre grands groupe, quatre grandes familles de noms de domaine. Le groupe A concerne les noms de domaine qui sont stratégiques pour votre organisation. Par exemple, vous faites du commerce en Allemagne sous une marque et vous allez devoir avoir le nom de domaine correspondant donc en .de. Si vous répondez également oui à la question « est-ce que je suis propriétaire de ce nom de domaine ? », donc un nom de domaine qui est stratégique pour vous et qui vous appartient, tout va bien. Ce nom de domaine doit faire l'objet d'une consolidation ou éventuellement d'un enregistrement si le nom de domaine est disponible et que vous ne l'avez pas encore dans votre portefeuille.
Donc, ces noms de domaine, une fois consolidés, on va dire qu'il faut faire une attention un peu plus particulière à ceux qui sont considérés comme critiques pour votre organisation, c'est-à-dire les noms de domaine qui vont générer beaucoup de trafic, les noms de domaine sur lesquels vous allez avoir des fonctions qui vont tourner sur donc des sites internet, des adresses email, des VPN, de la voix sur IP. Donc, il y a énormément de choses qui peuvent fonctionner sur ou derrière un nom de domaine. Donc, ces noms de domaine qui sont critiques pour vous, qui sont le cœur finalement de votre activité, vous allez faire un focus un petit peu plus particulier dessus et vous allez y ajouter un certain nombre de dispositifs de sécurité pour les sécuriser.
Si on parle cette fois-ci du groupe B, ce sont des noms de domaine qui sont stratégiques pour vous mais dont vous n'êtes pas titulaire. Ces noms de domaine naturellement sont considérés généralement comme des abus, des atteintes à votre propriété intellectuelle et ce sont des noms de domaine sur lesquels vous allez avoir des actions fortes, généralement d'ordre juridique, afin de les récupérer, votre objectif étant naturellement, une fois que ces noms de domaine auront été récupérés, de les repasser depuis le groupe B vers le groupe A.
Si on s'intéresse ensuite aux noms de domaine du groupe C, on a cette fois-ci des noms de domaine qui ne sont pas stratégiques pour vous, qui peuvent par exemple correspondre à un territoire dans lequel vous n'êtes pas. Mais en revanche, ces noms de domaine sont dans votre portefeuille. Un nom de domaine qui n'est pas stratégique pour vous mais dont vous êtes propriétaire, c'est éventuellement un nom de domaine sur lequel vous allez pouvoir vous poser des questions relatives à son éventuel abandon. Donc, il y a un certain nombre de précautions, naturellement, qui sont à prendre en la matière pour faire en sorte de ne pas relâcher des noms de domaine qui peuvent encore, le cas échéant, être utiles pour, par exemple, générer un certain trafic. Et ces noms de domaine, vous allez également pouvoir vous poser la question en amont de « est-ce que ce ne sont pas des noms de domaine que, finalement, je vais pouvoir céder » parce qu’intrinsèquement, ils peuvent présenter une certaine valeur attention qui sont intéressantes ou alors parce qu'ils correspondent à des termes génériques. Donc, ce groupe C est également à prendre en considération.
Le dernier groupe concerne des noms de domaine qui ne sont pas stratégiques pour vous et qui ne sont pas non plus votre titularité. Donc, on parle généralement là de simples atteintes des noms de domaine qui vont être enregistrées par des tiers que vous allez détecter via des outils de surveillance et qui peuvent d'un jour à l'autre, d'une minute à l'autre, devenir gênants pour vous, vous porter directement atteinte ou être utilisés pour faire des cyberattaques, du fishing par exemple. Ces noms de domaine, effectivement, il va falloir mettre en place un outil de monitoring dessus pour voir comment ils évoluent, comment ils sont utilisés.
Donc, vous voyez que très simplement, en déjà répondant de manière très simple, ou oui ou non, à ces deux grandes questions, « est-ce que ce nom de domaine est stratégique pour moi ? », « est-ce que j'en suis le propriétaire ? », vous pouvez très simplement faire découler un certain nombre d'actions qui vont finalement concrétiser votre politique et votre stratégie en matière de noms de domaine.
Si on s'attarde un petit peu plus sur la partie relative à la sécurité du portefeuille, généralement, ce qu'on essaie de mettre en place, c'est une approche dite défense en profondeur, par laquelle, effectivement, on va appliquer un certain nombre de dispositifs de sécurité à un portefeuille existant. On peut parler, par exemple, du verrou registre, registry lock, multilock, qui est aujourd'hui la première recommandation en matière de lutte contre le piratage de noms de domaine. On peut parler naturellement de DNSSEC, qui consiste à crypter les données relatives au contenu de zones pour éviter les attaques de type man-in-the-middle, par exemple. On peut parler naturellement du protocole HTTPS et de l'utilisation des certificats. On peut encore parler de l'utilisation de l'authentification email, des utilisateurs des différents niveaux d'habilitation qui peuvent être donnés sur les plateformes, des différents dispositifs qui permettent de sécuriser l'accès à une plateforme comme l'authentification forte, la validation IP et ainsi de suite. Donc, il y a énormément aujourd'hui de dispositifs qui rentrent effectivement dans ce schéma de défense en profondeur, qui permettent d'aller sécuriser votre portefeuille de noms de domaine.
Ensuite, on s'intéresse cette fois-ci plutôt à la partie relative au groupe D. Nous avons la surveillance, la détection et ensuite le monitoring des noms de domaine qui peuvent devenir frauduleux. Là, naturellement, la mise en place de dispositifs de surveillance va vous permettre de vous alerter sur l'utilisation de votre marque par des tiers. C'est notamment ce qu'on met en place aujourd'hui chez CSC avec notre service 3D monitoring qui permet de détecter et de scorer les enregistrements réalisés par des tiers, qui est consacré à l'implémentation de votre stratégie de noms de domaine. Et ce qu'on va voir, c'est qu'effectivement, il y a un certain nombre de points clés ou d'étapes qui seront à suivre, effectivement, dans l'implantation de votre stratégie de noms de domaine.
Je vous propose de les parcourir ensemble maintenant : la centralisation, l'automatisation, la conformité, l'intégration et la prise en compte effectivement de l'environnement mouvant dans lequel nous nous trouvons lorsqu'on parle de noms de domaine. Donc, on va passer en revue ensemble ces différents points et ces différentes étapes donc de l'implémentation de votre stratégie de noms de domaine.
Alors, parlons tout d'abord de centralisation, centralisation évidemment d'un portefeuille de noms de domaine, mais également centralisation de vos DNS, centralisation de vos certificats. La gestion des certificats, c'est un sujet dont on parle beaucoup avec les récentes annonces de Google sur la durée de vie des certificats notamment. Donc, c'est naturellement un élément qui est à prendre en compte dans ce travail de centralisation de vos actifs immatériels. Alors, naturellement, et c'est le premier élément, une centralisation vous permet d'avoir un contrôle total et entier sur l'ensemble de vos actifs digitaux. C'est un élément, naturellement, qui est extrêmement précieux.
Le deuxième point, c'est celui qui va concerner le renouvellement. Avoir un portefeuille d'actifs immatériels digitaux centralisés vous permet effectivement de faciliter très grandement et de sécuriser naturellement le travail de renouvellement de ces éléments, notamment lorsque le renouvellement se fait de manière automatique.
Troisième point, une centralisation vous permet naturellement de configurer au maximum et d'adapter la gestion de vos actifs immatériels aux besoins métiers de votre entreprise. C'est extrêmement précieux avec les besoins d'agilité qu'on a aujourd'hui, les besoins de rapidité et d'efficacité qu'on a dans nos organisations respectives. La centralisation vous permet également de simplifier le processus de décision. Vous avez l'ensemble des informations en un point unique, il est naturellement beaucoup plus facile de prendre des décisions relatives à votre portefeuille consolidé. La facturation, éviter d'avoir une multitude de fournisseurs et des intervenants pour la facturation de ses actifs va considérablement vous faciliter la vie également. On peut notamment, par exemple, même imaginer une facturation décentralisée multi-devises. À partir du moment où on a cette consolidation qui est faite, le travail de facturation derrière est beaucoup plus facile.
Idem pour atteindre, je dirais, l'état de l'art technique en matière de sécurité de vos actifs digitaux. Avoir tout en un point unique est également un gage de pouvoir sécuriser et atteindre l'état de l'art technique en la matière, confère les différentes recommandations par les organisations gouvernementales en matière de sécurité des actifs digitaux.
Dernier point sur les bénéfices de la centralisation, avoir des processus qui sont beaucoup plus efficaces et parfois avoir la possibilité même de les intégrer entre votre fournisseur et votre organisation. Donc, vous voyez qu'il y a toute une série de bénéfices liés à cette centralisation des actifs digitaux, mais je pense que le plus important reste quand même très certainement celui d'avoir un contrôle total sur votre propriété intellectuelle et en conséquence pouvoir faciliter l'ensemble des opérations juridiques et les opérations techniques qui peuvent être réalisées sur un portefeuille de noms de domaine. Et comme je le disais un petit peu plus tôt lorsqu'on a commencé à parler de ce slide, le fait de centraliser la gestion des noms de domaine, c'est naturellement une porte ouverte immédiate à un travail plus large de centralisation allant vers d'autres actifs comme les DNS, par exemple, ou vos certificats numériques.
On continue dans l'implémentation, donc la centralisation est une étape considérable et très importante, critique même, je dirais aujourd'hui. La deuxième étape est celle de l'automatisation. Alors, automatiser, pourquoi ? Automatiser pour gagner du temps de productivité, automatiser pour améliorer l'efficacité des process, pour pouvoir se concentrer également sur d'autres activités que purement des activités, on va dire d'ordre administratif, et réduire aussi considérablement le temps de traitement des demandes, sont des réels bénéfices immédiats d'un travail d'automatisation. Et lorsqu'on parle d'automatisation, généralement on parle d'API.
Alors, on va expliquer un petit peu ce que c'est une API. Une API, c'est tout simplement un programme qui permet à deux systèmes distincts, deux systèmes informatiques naturellement, de se parler et de s'envoyer des données ou des instructions de manière sécurisée. Alors, il ne faut pas avoir peur des API. Les API sont extrêmement populaires et depuis très longtemps, elles sont très utilisées, elles sont très répandues. C'est aujourd'hui un vrai standard qui est utilisé sur le web lorsqu'on parle d'envoi d'échanges de données ou d'instructions. Et aujourd'hui, effectivement, en connectant les systèmes de votre entreprise avec ceux de CSC, il est tout à fait, par exemple, possible d'imaginer de pouvoir consulter votre portefeuille de noms de domaine depuis l'intranet de votre entreprise ou bien encore d'effectuer une demande d'enregistrement d'un nom de domaine à partir d'un outil qui vous est propre et qui est interne. Donc aujourd'hui, on peut avoir des gains en termes d'efficacité, en termes de productivité, de sécurité qui sont considérables via l'automatisation. Et effectivement, c'est quelque chose qu'il est tout à fait possible de mettre en place. On vous le recommande d'ailleurs très vivement et nos équipes, bien entendu, sont à votre disposition pour voir comment tout ceci peut se concrétiser.
Lorsqu'on parle toujours d'automatisation, on peut voir également et lister assez rapidement et facilement les bénéfices. Une sécurité, des contrôles d'accès, une intégration de votre partenaire, comme CSC, dans le workflow de votre entreprise, moins d'emails qui seront envoyés, moins d'étapes de login plateforme également, le bénéfice également d'une vision consolidée, des données avec, bien entendu, la possibilité de mettre en forme les données selon les besoins de votre organisation et pas selon les besoins de votre prestataire. Et puis, je dirais, une flexibilité extrêmement accrue puisque cela fait entrer plus facilement le prestataire dans le processus de l'entreprise et pas l'inverse, donc un réel gain, je pense, en termes de productivité pour la gestion opérationnelle et quotidienne de vos actifs digitaux.
Si on continue dans les étapes et les bénéfices de l'implémentation d'une stratégie de noms de domaine, je pense que la conformité est également un point qui est à souligner. Vous le voyez aujourd'hui notamment avec les différentes règlementations européennes qui voient le jour. Les registres, par exemple, de noms de domaine, sont en train d'augmenter les procédures de vérification, notamment en termes de données Wiz, si on parle de NIS2, par exemple, et de l'article 28, mais il y a effectivement toute une série, aujourd'hui, de nouvelles règlementations qui rentrent en ligne de compte pour plus de sécurité pour lutter contre les abus. Donc, c'est important de faire ce travail de consolidation, de faire ce travail de choix du bon prestataire, pour aller naturellement vers plus de conformité puisqu’aujourd'hui, plus de conformité est demandée aussi bien dans la loi que les différents règlements ou directives européens. La revue des données Wiz, par exemple, c'est quelque chose qui est aujourd'hui extrêmement important puisque des vérifications avec possiblement des suspensions ou des radiations de noms de domaine voient le jour.
On voit même également que l'ICANN effectue un travail beaucoup plus important de vérification de la conformité des registrars. Il y a beaucoup de registrars qui ont reçu des notices of breach de la part de l'ICANN, donc des notices de non-conformité, mettant à risque finalement les portefeuilles de noms de domaine de leurs clients. Donc, le travail de conformité aujourd'hui est absolument fondamental et important pour les organisations.
Si on continue de regarder les différentes étapes de mise en place d'une politique de noms de domaine, l'intégration, la consolidation en un seul et même endroit me paraît également être un élément fondamental aujourd'hui. Quelques exemples pour illustrer ces propos. Tout le monde n'est peut-être pas familier de ce que sont les enregistrements CAA. C'est quoi ? C'est tout simplement la mise en place d'une politique de gouvernance en matière d'émission de certificats. En l'occurrence, ce qu'on va faire, c'est qu'on va spécifier dans le DNS quelle est l'autorité de certification qui est habilitée à émettre des certificats pour tel ou tel nom de domaine. Donc, c'est un élément extrêmement utile pour organiser la gouvernance des actifs digitaux.
En matière de DNS, c'est pareil, il est tout à fait possible de déterminer, on va dire, des templates, des modèles pour les DNS, qui seront à utiliser ainsi que le contenu des zones qui seront à installer sur ces DNS, ce qui va vous permettre d'avoir une meilleure application, finalement, de la politique de l'entreprise en matière digitale.
Si on s'intéresse cette fois-ci à la surveillance, tout consolider permet beaucoup plus facilement de créer des whitelists, donc des whitelists de noms de domaine légitimes et donc être beaucoup plus efficace dans la façon dont vous allez engager des actions sur les noms de domaine qui sont, cette fois-ci, frauduleux. Si on s'intéresse à la partie budgétaire, c'est naturellement évident que vous allez avoir des gains de temps précieux en matière de préparation des budgets à partir du moment où vous avez une intégration de vos actifs digitaux qui est forte et ensuite, naturellement, avoir une intégration forte qui permet de traiter beaucoup plus facilement des urgences en ayant un point de contact unique accessible en différentes langues, 24 heures sur 24. Ça va vous permettre de traiter des dossiers, effectivement, qui peuvent présenter, notamment en matière IT, un caractère d'urgence.
Si on poursuit dans notre analyse et l'implémentation de la politique de noms de domaine, comme on le disait tout à l'heure en introduction avec Arnaud, on est effectivement, lorsqu'on parle de noms de domaine, sur un environnement qui est extrêmement mouvant. Et effectivement, il est aujourd'hui important de bien comprendre les risques qui sont associés aux lancements de nouvelles extensions, aux changements qui vont impacter un certain nombre d'entre elles. Je pense que le point AI est certainement l'exemple actuel qui est le plus pertinent. Le point AI est devenu extrêmement populaire du fait de l'essor considérable de l'intelligence artificielle ces derniers temps. Et ce qui était à l'origine une extension pays exotique d'un pays, en l'occurrence Anguía, est tout d'un coup devenu une extension en secondary meaning, donc une extension à laquelle on a donné un sens différent que son sens premier, qui est un centre géographique, pour en faire l'extension de l'intelligence artificielle. Et aujourd'hui, cette extension approche le demi-million de noms de domaine enregistrés. On devrait atteindre ce chiffre dès le mois d'octobre 2024. On a vu que, corrélativement, les fraudes, mais également les procédures de résolution des litiges, ont augmenté considérablement en la matière, donc il faut bien comprendre et intégrer le fait qu'il y a un risque qui est inhérent à l'écosystème du nom de domaine et à ses règles de fonctionnement.
Donc, on voit aujourd'hui beaucoup de phénomènes de libéralisation. Il y en a eu l'année dernière, notamment en Australie, donc il est très important de s'organiser en la matière et d’avoir des réflexes de protection, notamment en déterminant les signes que vous allez vouloir protéger et, naturellement, trouver un prestataire qui est capable d'agir très rapidement, notamment dans des zones qui sont peut-être un petit peu plus complexes à gérer que le .com, par exemple. Donc, des process doivent être mis en place pour déterminer un budget, également pour gérer ce genre de nouvelle donne où, malheureusement, nous ne sommes pas toujours forcément informés en amont par les registres de leur velléité suffisamment tôt, ou de leur velléité de modifier les règles de fonctionnement de leur extension.
Il y a un certain nombre d'exemples récents qu'on a souhaité vous donner également ici. On pense par exemple à la Turquie qui a libéralisé également son extension et ouvert le .tr avec une procédure de résolution des litiges qui se met progressivement en place. Ça a été le même cas pour le Venezuela qui a ouvert son extension. Idem pour le .ad avec Andorre, où on a une ouverture générale qui va se passer en octobre. Parlant toujours des nouveautés dans l'industrie des noms de domaine, on voit également beaucoup d'initiatives. Ça a fait l'objet de notes d'information de la part de CSC mais de dispositifs de blocage qui se sont mis en place, notamment GlobalBlock qui en fait partie et qui est disponible depuis le mois de mars dernier. Donc, très important de garder à l'esprit qu’effectivement, nous sommes dans un environnement qui est extrêmement mouvant et il faut garder à l'esprit les spécificités du monde des noms de domaine pour pouvoir agir extrêmement rapidement.
En résumé, je dirais qu'effectivement, on l'a vu mais il y a énormément de bénéfices à la mise en place d'une politique de noms de domaine. On a passé en revue les différents éléments mais effectivement, je pense que le bénéfice premier, naturellement le fait de pouvoir avoir une vision absolument consolidée et centralisée de ses actifs digitaux en ne s'intéressant pas seulement aux noms de domaine mais en allant travailler également sur les serveurs DNS et les certificats numériques, tout ceci va vous permettre d'améliorer votre posture cyber, améliorer la cybersécurité augmenter votre notation en matière cyber également.
Je pense que l'automatisation est également un point à retenir, c'est quelque chose qui permet de faire des bons de géant en matière de gestion quotidienne d'un portefeuille de noms de domaine et je pense plus généralement à la mise en place de procédures, aussi bien en interne que dans la relation avec votre registrar. Ce sont des éléments sur lesquels vous allez pouvoir tirer des bénéfices absolument considérables.
Donc voilà, je dirais, résumé. Et on est naturellement à votre disposition pour pousser sur le sujet avec vous, donc retracer les grands éléments de la définition d'une politique de noms de domaine et les différentes étapes ainsi que les bénéfices associés de, toujours, la mise en place d'une politique de noms de domaine. Donc, voilà, je vous remercie pour votre attention et je vais redonner la parole à Arnaud.
Arnaud: Merci Patrick, merci beaucoup pour cette présentation. On a reçu quelques questions. Je vais en choisir deux un peu au hasard et pour les autres ne vous inquiétez pas, nous ne manquerons pas de vous répondre par email. Alors, une première question pour toi, Patrick, de la part de Juliette. Selon votre expérience, en combien de temps est-il possible de mettre en place une politique de noms de domaine ?
Patrick: Alors, excellente question. On va dire, tout dépend un peu de votre ambition en la matière et je pense que ça dépend aussi de l'endroit dans votre organisation où est initié ce projet. On peut avoir des politiques qui peuvent être très axées sur la dimension propriété intellectuelle, on va en avoir d'autres qui vont être plus axées sur la partie cybersécurité, selon la taille de votre organisation, le nombre de filiales que vous avez, le nombre de marques également que votre entreprise utilise. Le projet peut être à géométrie variable. On va également s'intéresser en termes de livrables également, c'est-à-dire « est-ce que vous souhaitez au final avoir un document qui est relativement succinct » ou « est-ce que vous souhaitez avoir une bible absolument détaillée pour votre politique de noms de domaine ? »
Donc aujourd'hui, tout est possible mais je dirais qu'au minimum, un projet de mise en place d'une politique de noms de domaine nécessite au moins trois ou quatre mois, le temps de mettre en place un certain nombre de workshops, de faire travailler les gens, de se mettre d'accord sur des règles, de tout consolider dans un document. Donc ça, c'est vraiment dans le meilleur des mondes pour quelque chose de facile. Et ensuite, je dirais qu'un projet étendu un peu plus complexe de mise en place d'une politique de noms de domaine doit s'étaler sur une période qui est généralement d'un an. Donc voilà le genre de fourchette que je peux vous donner pour mener à bien la mise en place d'un projet de politique de nom de domaine.
Arnaud: Merci Patrick. Alors, une deuxième question avec un terme qui, je pense, va revenir dans les semaines, les mois à venir de plus en plus, donc de la part d'Antoine. Quelles sont les nouvelles obligations de NIS2 en matière d'information sur les Wiz ?
Patrick: Alors, très bonne question également. NIS2 s'intéresse aux noms de domaine. NIS2 dit même que l'écosystème du nom de domaine est infrastructure nationale critique. Et il y a un certain nombre d'obligations qui en découlent pour les registres, les opérateurs de service DNS, les registrars également. Et si on s'intéresse aux informations Wiz plus spécifiquement, il y a un article dans la directive donc qui est en cours de transposition, qui s'appelle l'article 28, qui explique qu'en fait les registres et les registrars vont avoir des obligations de vérification des données Wiz.
Et, à défaut d'avoir des données qui sont correctes dans le Wiz, les registres peuvent procéder à la suspension des noms de domaine. Ça veut dire quoi ? Ça veut dire que très concrètement, il faut prêter une attention forte aux informations que vous avez indiquées dans vos fiches Wiz pour faire en sorte qu'effectivement, elles correspondent bien aux informations juridiques que vous avez, que ce soit au niveau de votre registre du commerce ou de vos enregistrements de marques. Donc, il faut vraiment assurer une cohérence parfaite entre les informations enregistrées pour vos noms de domaine et les informations juridiques de votre entreprise. Voilà, je dirais, les principaux points auxquels il faut que vous prêtiez attention lorsqu'on parle effectivement de données Wiz dans le cadre de NIS2.
Arnaud: Très bien, merci Patrick. Écoutez, on arrive au bout de ce webinaire. Merci à toutes et à tous de votre présence aujourd'hui. Comme d'habitude, merci à toutes et à tous. Au revoir et à bientôt.